Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil

Dr. Martin Pflüger und Dr. Christian Tinnefeld geben Empfehlungen für Unternehmen

[datensicherheit.de, 18.07.2020] Nachdem der Europäische Gerichtshof (EuGH) das Datenschutzabkommen „EU-US Privacy Shield“ für unwirksam erklärt hat sei dieses Urteil „relevant für Unternehmen, die Daten von Nutzern, Kunden, Mitarbeitern, aber auch Gerätedaten, die auf einzelne Anwender beziehbar sind, mit Partnern oder verbundenen Unternehmen in den USA oder anderen nicht-europäischen Ländern austauschen“. Hogan Lovells hat hierzu einige Handlungsempfehlungen für Unternehmen zusammengestellt.

Unternehmen müssen prüfen, ob Datenschutz beim Empfänger gewährleistet ist

Wer personenbezogene Daten von Europa in die USA oder andere Drittländer außerhalb der EU und des Europäischen Wirtschaftsraumes überträgt, „muss künftig noch genauer prüfen, ob der Datenschutz beim Empfänger gewährleistet ist“. Der EuGH habe entschieden, dass das „EU-US Privacy Shield“ für den Datentransfer in die USA ab sofort keine rechtliche Grundlage mehr bilden könne.
Gleichzeitig habe er in Frage gestellt, inwieweit Unternehmen ihre Datentransfers in die USA und in andere Drittländer auf die „Standardvertragsklauseln“ der Europäischen Kommission stützen können. Damit habe das Urteil „massive Auswirkungen auf die Rechtmäßigkeit von Datentransfers in sämtliche nicht-europäische Staaten“.

Aktuelle Handlungsempfehlungen für Unternehmen

„Unternehmen sollten Maßnahmen ergreifen, um die internationalen Datentransfers in ihrem Verantwortungsbereich mit der DSGVO und dem Urteil des EuGH in Einklang zu bringen.“ Zu den möglichen Schritten zur Risikoreduzierung gehören demnach insbesondere folgende Maßnahmen:

• Data Mapping: Falls noch nicht geschehen, sollten Unternehmen die internationalen Datentransfers und implementierten Transfermechanismen in ihrem Verantwortungsbereich identifizieren. Dies umfasst sowohl Datentransfers zwischen einzelnen Konzerngesellschaften, einschließlich der gruppeninternen Übermittlung von Arbeitnehmerdaten, als auch Transfers an Dienstleister, Geschäftspartner oder sonstige Dritte.
• Überprüfung des Schutzniveaus im Einzelfall: Unternehmen müssen nach den Vorgaben des EuGH für jeden Einzelfall beurteilen und dokumentieren, ob ausreichende Garantien zur Absicherung der internationalen Datentransfers implementiert wurden. In dieser Hinsicht wird es bei Datenübermittlungen in die USA besonders relevant sein, inwieweit der Datenempfänger Eingriffsbefugnissen der US-Geheimdienste unterliegt.
• Wechsel zu alternativen Garantien: Stellt sich beim „Data Mapping“ heraus, dass ausschließlich das „Privacy Shield“ zur Legitimierung der Übermittlung verwendet wurde, müssen Unternehmen aufgrund dessen Unwirksamkeit auf andere Garantien umsteigen.
• Umsetzung von zusätzlichen Schutzmaßnahmen: Auch bei Datentransfers auf Grundlage der „Standardvertragsklauseln“ ist zu prüfen, ob durch die Umsetzung zusätzlicher Schutzmaßnahmen, einschließlich des Abschlusses weitere vertraglicher Garantien („SCC Plus“), das Schutzniveau beim Empfänger angemessen gesichert werden kann.
• Beobachtung der Stellungnahmen der Datenschutzbehörden: Die für die nächste Zeit zu erwartenden Stellungnahmen der Aufsichtsbehörden auf nationaler Ebene und des Europäischen Datenschutzausschusses sollten beachtet werden. Einzelne Stellungnahmen der Datenschutzbehörden sind bereits veröffentlicht (z.B. Hamburg, Rheinland-Pfalz und Thüringen).

Unternehmen sollten Verträge und Transfermechanismen zum Austausch von Daten mit Empfängern in den USA, aber auch anderen Drittländern, prüfen

„Das Urteil macht deutlich, dass es in der globalisierten Welt unerlässlich ist, ein hohes Schutzniveau für personenbezogene Daten sicherzustellen. Unternehmen sollten ihre Verträge und Transfermechanismen zum Austausch von Daten mit Empfängern in den USA, aber auch anderen Drittländern, nochmals gründlich prüfen“, empfehlen Christian Tinnefeld und Martin Pflüger, Partner bei Hogan Lovells und Experten für Datenschutz und IT-Recht an den Standorten Hamburg und München.
Außerdem sei es dringend ratsam, die weiteren Stellungnahmen und das Vorgehen der Datenschutzbehörden im Blick zu behalten. Für den internationalen Datentransfer müssten in den kommenden Wochen und Monaten angemessene und zugleich verlässliche Lösungen gefunden werden.

Weitere Informationen zum Thema:

Hogan Lovells Blog, 16.07.2020
„Schrems II“-Urteil: EuGH erklärt EU-U.S. Privacy Shield für unwirksam

datensicherheit.de, 17.07.2020
BlnBDI fordert digitale Eigenständigkeit für Europa

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert